Aktuelles, Branche - geschrieben von dp am Montag, Mai 27, 2019 13:02 - noch keine Kommentare
Cyber-Hygiene: Grundstein der IT-Security
Christoph M. Kumpa stellt Checkliste für Unternehmen vor
[datensicherheit.de, 27.05.2019] Angesichts der zunehmenden Bedrohungen durch fortschrittliche Malware und Datendiebstahl in großem Stil ist eine solide Cyber-Hygiene für die gesamte Hard- und Software eines Unternehmens essenziell. Denn nicht nur für die menschliche Gesundheit, sondern auch in der IT-Sicherheit gilt: „Vorbeugen ist besser als Heilen.“ Regelmäßig durchgeführte Hygienepraktiken sorgen dafür, Systeme effektiv zu halten und vor Angriffen zu schützen. Christoph M. Kumpa, „Director DACH & EE“ bei Digital Guardian, stellt im nachfolgenden Beitrag eine Checkliste für Cyber-Hygiene vor.
Schwachstellen frühzeitig erkennen und schwerwiegende Probleme vermeiden!
„In Unternehmen gibt es viele Elemente, die ohne adäquaten Cyber-Hygiene-Plan zu Schwachstellen führen und damit die Geschäftskontinuität gefährden können. Deshalb sollten alle Geräte, Softwareprogramme und Web-Anwendungen in einen kontinuierlichen Wartungsplan aufgenommen werden“, rät Kumpa. Hierdurch erfolge eine grundlegende Prävention gegen Cyber-Attacken.
Zudem ermögliche die regelmäßige Wartung bestmögliche Effizienz der eingesetzten Soft- und Hardware. „Schwachstellen werden frühzeitig erkannt und schwerwiegende Probleme vermieden.“ Obwohl mit jedem „digitalen Puzzleteil“ zahlreiche Bedrohungen einhergingen, sei die Einführung einer effektiven Cyber-Hygiene-Routine nicht so schwierig, wie es auf den ersten Blick scheinen mag. Einige wenige „Best Practices“, die regelmäßig umgesetzt werden, könnten die Sicherheit eines jeden Systems enorm verbessern.
Checkliste: „Best Practices“ für Cyber-Hygiene
1. Schritt: Dokumentation aller Geräte und Programme
Alle Hardware-, Software- und Online-Anwendungen müssen dokumentiert werden – die Liste sollte folgende drei Kategorien umfassen:
- Hardware: Computer, angeschlossene Geräte (z.B. Drucker, Faxgeräte) und mobile Geräte wie Smartphones oder Tablets
- Software: Alle Programme, die in einem bestimmten Netzwerk verwendet und direkt auf Computern installiert werden
- Anwendungen: Web-Anwendungen (z.B. „Dropbox“, „Google Drive“), Apps auf Telefonen und Tablets sowie alle Programme, die nicht direkt auf Geräten installiert sind
2. Schritt: Schwachstellen-Bereinigung der gelisteten Hard- und Software
Nachdem eine Liste aller Komponenten erstellt wurde, können IT-Teams mit der Suche nach Schwachstellen beginnen:
- Nicht genutzte Geräte werden bereinigt und ordnungsgemäß entsorgt.
- Veraltete Software und Anwendungen sollten aktualisiert und alle Benutzerpasswörter geändert werden.
- Werden die Programme nicht regelmäßig verwendet, sollten sie ordnungsgemäß deinstalliert werden.
- Auch eine Standardisierung der genutzten Software ist ein wichtiger Faktor: Wird zum Beispiel sowohl „Google Drive“ als auch „Dropbox“ für die Dateispeicherung genutzt, sollte eine der Anwendungen als die primäre und die andere entweder nur als Backup verwendet oder ganz gelöscht werden.
3. Schritt: Erstellung der Cyber-Hygiene-Richtlinien
Nach der Bereinigung von Geräten und Programmen erfolgt die Erstellung der Richtlinien. Diese sollten dokumentiert und von allen, die Zugriff auf das Netzwerk haben, befolgt werden. Zu den klassischen Punkten gehören:
- Software-Aktualisierungen: Veraltete Software birgt ein enormes Sicherheitsrisiko für Cyber-Angriffe. Um Sicherheitsverstößen vorzubeugen, sollten deshalb alle Anwendungen regelmäßig aktualisiert und die neuesten Sicherheitspatches und aktuellsten Versionen im gesamten Unternehmen genutzt werden. Insbesondere Antiviren- und weitere Sicherheitssoftware muss stets auf dem neuesten Stand sein, um mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten.
- Hardware-Updates: Ältere Computer und Smartphones müssen möglicherweise ausgetauscht werden, um deren Leistung zu gewährleisten.
- Verwaltung von Neuinstallationen: Jede neue Installation von Hard- und Software sollte ordnungsgemäß durchgeführt und dokumentiert werden.
- Datensicherheit: Um Datenverlust durch Cyber-Angriffe wie beispielsweise Ransomware oder Datendiebstahl zu vermeiden, sollten Festplatten und Online-Cloud-Speicher entsprechend gesichert sowie regelmäßig gepflegt und getestet werden. Mangelnde Cyber-Hygiene kann auch dazu führen, dass Daten auf andere Weise verloren gehen: Das Verlegen von Dateien wird bei der schieren Datenflut in heutigen Unternehmen immer häufiger zum Problem.
- Benutzer einschränken: Nur diejenigen, die wirklich System-Zugriff auf Administratorebene benötigen, sollten diesen auch bekommen. Alle anderen Benutzer sollten eingeschränkt werden.
- Passwortänderungen: Passwörter sollten regelmäßig in bestimmten Abständen geändert werden. Wichtiger als die Häufigkeit der Änderungen ist hierbei jedoch, dass Mitarbeiter über die „Best Practices“ aufgeklärt werden, was ein wirklich sicheres Passwort ausmacht.
- „Cyber Security Framework“: Unternehmen können zudem zusätzlich ein fortschrittliches „Security Framework“ (z.B. das NIST-Framework) implementieren.
Sobald die Richtlinien erstellt sind, werden geeignete Zeitrahmen für die Wartungsroutine eines jeden Elements festgelegt. Die Überprüfung auf Updates kann beispielsweise auf mindestens einmal pro Woche eingerichtet werden. Auf diese Weise wird die kontinuierliche Cyber-Hygiene der gesamten Hard- und Software-Netzwerks gesichert.
Christoph M. Kumpa: Die Entwicklung umfassender Cyber-Hygieneverfahren trägt dazu bei, einen soliden Sicherheitsstatus zu gewährleisten. Denn nur wer seine IT-Umgebung kennt, kann sie wirksam absichern!
Weitere Informationen zum Thema:
datensicherheit.de, 30.04.2019
Sensible Daten aufspüren und schützen
datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks
datensicherheit.de, 05.11.2018
Willkommen im Botnet: Über die Unsicherheit der Dinge
datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe
datensicherheit.de, 09.09.2018
Cyber-Erpressung auf Bestellung
datensicherheit.de, 14.08.2018
Echtzeit-Identifizierung von Daten-Sicherheitsrisiken
datensicherheit.de, 30.07.2018
Polymorphe Malware: Wandlungsfähigkeit kombiniert mit hohem Schadenspotential
datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff
datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren